关键信息 漏洞概述 标题: Potential HTTP policy bypass when using header rules 公告时间: May 21, 2023 CVE ID: CVE-2023-30851 CVSS 评分: 2.6/10 (低) CVSS v3 基本指标: - 攻击向量: 相邻 - 攻击复杂性: 高 - 所需权限: 高 - 用户交互: 无 - 范围: 改变 - 保密性: 低 - 完整性: 无 - 可用性: 无 影响 此问题仅影响以下用户: 具有适用于多个 的 HTTP 策略 有一个仅影响其中一个端点的允许所有规则 在这些情况下, 一个通配符规则将被附加到 HTTP 规则集, 可能会导致 HTTP 策略的绕过。 影响版本与修复版本 受影响版本: - <1.11.16 - <1.12.9 - <1.13.2 已修复版本: - 1.11.16 - 1.12.9 - 1.13.2 修复建议 将每个端点的 HTTP 规则重写为单独的规则。例如, 初始规则应重写为两个单独的规则, 每个规则针对一个端点。 致谢 特别感谢 @jrajahalme 为调查和修复问题所做出的贡献。 更多信息 如需更多关于此公告的问题或评论, 请在 Slack 上联系我们。 如果发现相关漏洞, 请通过 our private security mailing list: security@cilium.io 报告, 优先处理, 且仅为 Cilium 内部安全团队成员订阅。